トラフィックは、アクティブ/アクティブ HA 実装でサイレントに破棄/ドロップされます

• FW1 は、新しいセッションの初期パケットを受信し、セッション所有者になります。
• FW1 は、FW2 がセッション設定であることを検出し、HA3 経由でパケットを FW2 に転送します。
• パケットが FW2 によって受信されると、FW2 はスローパスを実行し、セッション セットアップ中に入力インターフェイスと出力インターフェイスを決定します。  
• 次に、FW2 は、レイヤ 7 処理に HA3 リンク(存在する場合)を使用して、パケットを FW1 に送り返します。
• FW1 は、FW2 から受信したセッション情報に基づいて、出力インターフェイスから宛先へのパケットの転送を試みます。
• FW2 から受信したセッションのエグレス インターフェイスまたはサブインターフェイス番号が、FW1 に設定されたエグレス インターフェイスまたはサブインターフェイスと異なる場合、パケットは破棄されます。
• その結果、問題の発生時に グローバル カウンタの ha_aa_session_setup_too_many_retry、 flow_no_interface 、 および flow_arp_rcv_err が増加する可能性があります。

• ファイアウォールで取得されたパケットキャプチャには、SYN再送信のドロップが表示されます

• PAN-OS:すべて
• 高い可用性:アクティブ/アクティブ

• アクティブプライマリ:イーサネット1/7。40 VLAN ID 40
• アクティブセカンダリ:イーサネット1/7。30 VLAN ID 30

• アクティブ プライマリ: イーサネット1/1
• アクティブセカンダリ:イーサネット1/2

サブインターフェイス番号またはインターフェイスを変更して、両方のファイアウォール ノードで同じになるようにします。 VLAN ID は変更されていない場合があります。

例：

• アクティブプライマリ:イーサネット1/7。40 VLAN ID 40
• アクティブセカンダリ:イーサネット1/7。40 VLAN ID 30

• アクティブプライマリ:イーサネット1/1
• アクティブセカンダリ:イーサネット1/1

アクティブ/アクティブ HA 実装では、セッション所有者とセッション設定の役割を異なる FW ノードに割り当てることができます。 詳細については、次のリンクからPAN-OS管理者ガイドを参照してください https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/high-availability/ha-concepts/session-setup